Прочута рансъмуер банда „си намери майстора” в лицето на агентите от ФБР
(снимка: CC0 Public Domain)
ФБР е успяло тайно да хакне сървърите и да затвори бизнеса на банда за киберизнуднвания чрез рансъмуер, известна като Hive. Успешната акция е попречила на престъпниците да получат над 130 милиона долара откупи от около 300 жертви.
Правителствени хакери са проникнали в мрежата на Hive и са поставили бандата под наблюдение, тайно отвличайки цифровите ключове, които групата е използвала за дешифриране на данните на жертвите, съобщи Ройтерс от пресконференция на главния прокурор на САЩ Мерик Гарланд, директора на ФБР Кристофър Рей и заместник-главния прокурор Лиза Монако.
Промяна в играта
„Използвайки законни средства, ние проникнахме в [сървърите на] хакерите. „Променихме играта с Hive”, казва Лиза Монако за акцията на ФБР срещу рансъмуер бандата.
Уебсайтът на киберпрестъпната група Hive вече не е достъпен, а предишното съдържание е заменено със съобщение: „Федералното бюро за разследване е иззело този сайт като част от координирани действия на правоприлагащите органи, предприети срещу Hive Ransomware”.
Сървърите на Hive бяха атакувани също от германската федерална криминална полиция и холандското национално звено за борба с високотехнологичните престъпления.
„Интензивното сътрудничество между държави и континенти, изградено на взаимно доверие, е ключът към ефективната борба със сериозните киберпрестъпления”, коментира германският полицейски комисар Удо Фогел в изявление на полицията и прокурорите на Баден-Вюртемберг, които са помогнали в разследването.
Унищожаването на Hive е различно от някои други нашумели случаи срещу рансуемуер банди, обявени от Министерството на правосъдието на САЩ през последните години, като кибератаката през 2021 г. срещу Colonial Pipeline Co. По това време Министерството на правосъдието успя да конфискува около 2,3 милиона долара, получени под формата на откуп в криптовалута, след като компанията плати на хакерите.
Този път до изземвания не се стигна, тъй като разследващите се намесиха преди извършителите да поискат откуп. Започналото през юли 2022 г. тайно разследване и проникване в сървърите на престъпната група остава незабелязано от бандата до последния момент. Но контактната информация за Hive все още не е налична. Няма данни и за географското местоположение на престъпната група.
Кибербанда с голям мащаб
Hive е една от многото и сред най-активните киберпрестъпни групи, които изнудват за пари международни компании, като криптират техните данни и изискват големи откупи в криптовалута в замяна на достъпа до данните. През ноември миналата година ФБР предупреди, че повече от 1500 компании по света са били атакувани от Hive и са платили близо 100 милиона долара откуп.
Въпреки че не бяха обявени арести, разследването продължава, като служител на ФБР съветва журналистите да „следят новините”. Операцията помогна на широк кръг от жертви, включително на Тексаския училищен окръг. Бюрото предостави на училищния район ключове за дешифриране, което го спаси от плащане на откуп от 5 милиона долара. А болницата в Луизиана си спести 3 милиона долара откуп.
Експертът по киберсигурност Брет Калоу от канадската компания Emsisoft твърди, че Hive е отговорна за най-малко 11 инцидента през миналата година с американски правителствени организации, училища и медицински заведения. „Hive е една от най-активните групи, ако не и най-активната”, казва Калоу.
Рансъмуер като услуга
Hive доставя „рансъмуер като услуга” (Ransomware-As-A-Service – RaaS) на трети страни, получавайки част от парите за откупа. И тъй като няма съобщения за арести, хакерите от групата вероятно скоро „или ще отворят магазин с друга марка, или ще бъдат вербувани в други RaaS групи”, предполага Джим Симпсън от британската фирма Searchlight Cyber. Но, по неговите думи, операцията на ФБР е нанесла значителни щети на дейността на Hive.